Felles behandlingsansvar mellom helseforetak ved samarbeid etter pasientjournalloven § 9

(1)

Det juridiske fakultet

Felles behandlingsansvar mellom helseforetak ved samarbeid etter pasientjournalloven § 9

Hanna Louise Skjerven

Masteroppgave i Rettsvitenskap JUR-3902 desember 2019

(2)

Innholdsfortegnelse

1 Innledning ... 1

1.1 Tema og problemstilling ... 1

1.2 Bakgrunn og aktualitet ... 2

1.3 Rettskildebildet og metode ... 3

1.4 Avgrensning og videre fremstilling ... 6

1.5 Terminologi ... 7

2 Generelle begreper ... 9

2.1 Aktørene i personvernforordningen ... 9

2.2 Ansvar for grunnleggende personvernprinsipper ... 10

2.3 «Behandling» av personopplysninger og helseopplysninger ... 10

2.4 Behandlingsrettede helseregistre ... 12

2.5 Helseforetak ... 13

3 Behandlingsansvar som konsept ... 14

3.1 Den personelle siden: Hvem kan være behandlingsansvarlig? ... 15

3.2 Den materielle siden: Hva må til for å bli behandlingsansvarlig? ... 16

3.2.1 «bestemmer» ... 16

3.2.2 «formålet med behandlingen» ... 17

3.2.3 «hvilke midler som skal benyttes» ... 18

3.3 Antall behandlingsansvarlige, pluralistisk kontroll ... 20

4 Felles behandlingsansvar ... 20

4.1 Artikkel 26 ... 21

4.1.1 «to eller flere behandlingsansvarlige» ... 22

4.1.2 «I fellesskap» ... 23

4.1.3 Eksternt solidaransvar ... 25

4.2 Analyse av rettspraksis fra EU-domstolen ... 25

4.2.1 Sak C-210/16 «Fanpage-dommen» ... 26

(3)

4.2.2 Sak C‑25/17 «Jehovas vitne-dommen» ... 29

4.2.3 Sak C-40/17 «Fashion ID-dommen» ... 32

4.2.4 Momenter fra dommene og deres betydning ... 35

5 Felles behandlingsansvar mellom virksomheter som yter helsehjelp ... 39

5.1 Pasientjournalloven § 9 ... 39

5.1.1 Virkeområdet for samarbeid etter § 9 ... 40

5.1.2 Krav og innhold for § 9-avtaler ... 42

5.2 Er det forskjellig betydning i bruken av begrepene «delt» og «felles» behandlingsansvar? ... 47

6 Eksempler på samarbeid om behandling av helseopplysninger ... 49

6.1 Eksempel 1: Regionalt laboratoriesamarbeid ... 49

6.2 Eksempel 2: Utenlandsk kommersielt laboratorium ... 51

6.3 Eksempel 3: Samarbeid med virksomhet som ikke yter helsehjelp ... 53

Kilderegister ... 56

Bøker og artikler ... 56

Lovtekst og internasjonale rettskilder ... 57

Forarbeider og EU-retningslinjer ... 58

EU-praksis ... 59

Elektroniske kilder ... 60

(4)

1 Innledning

1.1 Tema og problemstilling

Oppgavens tema er behandlingsansvar for behandling av personopplysninger. Dette ansvaret følger overordnet av EUs personvernforordning.¹ Oppgaven behandler konkret felles

behandlingsansvar mellom helseforetak og vil forsøke å klarlegge rettstilstanden om felles behandlingsansvar for personopplysninger med særlig fokus på samarbeid mellom

virksomheter etter pasientjournalloven § 9.²

Problemstillingen omfatter to rettsområder, generell personopplysningsrett og helserett.

Personvernforordningen har som formål å verne fysiske personer når deres

personopplysninger blir behandlet. Forordningens artikkel 26 setter vilkår for når noen anses som felles behandlingsansvarlige for en behandling av personopplysninger. Denne

rettstilstanden har blitt nyansert av EU-domstolen og det er nødvendig å se på deres tolkning av reglene.

Pasientjournalloven er en av helselovene i Norge, men den er også en personvernlov som regulerer behandling av helseopplysninger. Lovens § 9 gir mulighet for samarbeid mellom helsevirksomheter om slike journalsystemer.

Oppgaven tar sikte på å redegjøre for reglene om felles behandlingsansvar når virksomheter samarbeider om behandling av pasientopplysninger i forbindelse med helsehjelp. Hovedmålet er å redegjøre for vilkårene for at felles behandlingsansvar skal foreligge, med særlig fokus på å belyse anvendelsen av vilkårene i en kontekst der to eller flere virksomheter samarbeider om behandling av opplysninger med helsehjelp som formål. Oppgaven redegjør derfor inngående for vilkårene for felles behandlingsansvar slik disse følger av

personvernforordningen. Deretter sammenholdes redegjørelsen for de generelle vilkårene med

§ 9 i den norske pasientjournalloven, for å klarlegge rettstilstanden for virksomheter som samarbeider etter denne bestemmelsen. Endelig belyses anvendelsen av vilkårene for felles behandlingsansvar for opplysninger som skal brukes i helsehjelp gjennom noen eksempler.

1 Europaparlaments- og rådsforordning (EU) 2016/679 av 27. april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger samt om oppheving av direktiv 95/46/EF (generell personvernforordning) [PVF, GDPR]

2 Lov 20. juni 2014 nr. 42 om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven)

(5)

Underveis redegjøres det også for virkninger av felles behandlingsansvar.

1.2 Bakgrunn og aktualitet

Direktør i Datatilsynet Bjørn Erik Thon har sagt at vi lever i en digital revolusjon.³ Med dette mener han vi er inne i en samfunnsomveltning hvor all informasjon om oss er digitalisert, og kan deles og brukes. Data om enkeltpersoner brukes i mer utstrakt grad enn noen gang før, og dette vil få konsekvenser for hvordan vi fremover lever livene våre og hvordan samfunnet organiseres.

Teknologiutviklingen gjør at data kan behandles på nye måter og fører også til økt samarbeid via teknologiske løsninger. Resultatet blir at flere og flere virksomheter samarbeider og deltar i behandlingen av våre data og personopplysninger.

På bakgrunn av dette har personopplysningsvern blitt et viktig tema i samfunnsdebatten. I Norge har debatten om personvern fått oppmerksomhet ved innføringen av

personvernforordningen. Reglene er i stor grad de samme som før innføringen, men av flere grunner har norsk media og norske virksomheters oppmerksomhet om personvernregler blitt større etter innføringen. Det skyldes også en mer synlig debatt om personvernspørsmål med særlig fokus på at enkeltpersoners rettigheter utvides samtidig som virksomhetene får mer forpliktelser. I stor grad skyldes det også at forordningen innfører muligheter for store

økonomiske sanksjoner mot offentlige så vel som private virksomheter, ved brudd på reglene.

I lys av denne utviklingen er det av stor praktisk interesse å avklare ansvarsspørsmålet ved behandlingen av personopplysninger. Det må være klart både for aktørene selv, for

enkeltpersoner og samfunnet ellers å vite hvem som er ansvarlig for konkret behandling av opplysninger. Dette er viktig for å fordele skyld hvis noe går galt. Minst like viktig er det at en tydelig ansvarsfordeling mellom de involverte virksomheter kan være avgjørende for ivaretakelsen av personvernreglene og enkeltpersoners rettigheter.

Aktualiteten av spørsmålet om felles behandlingsansvar underbygges også av at EU- domstolen på kort tid har behandlet tre saker om spørsmålet.

Innsamling og bruk av data i helsesektoren er av stor betydning. Helsedata om oss blir samlet inn i ny og stor utstrekning og med nye tekniske løsninger. Helsedata kan for eksempel

3 Skullerud mfl. (2019) s. 9

(6)

komme fra treningsapper, gentester fra utlandet så vel som fra konsultasjoner i primær- og spesialisthelsetjenesten. Det er også nye plattformer for samhandling mellom

helsevirksomheter, mange av disse er nye og innebærer utstrakt bruk av elektroniske løsninger slik som skytjenester og digital deling av helseopplysninger. Det har også blitt et større mangfold av leverandører av tjenester til helsesektoren.

Dette har ført til nye samhandlingsformer i helsesektor, som i utgangspunktet vil være positivt for tilbudet av helsehjelp, men som også skaper utfordringer for ansvarsplasseringen av behandlingsansvar for helsedata. For det første finnes det nye virksomheter som ikke tradisjonelt har vært en del av helsesektoren og hvor ansvaret for de involverte i behandling av helsedata må avklares. For det andre innebærer dette nye samarbeidsformer som ikke tidligere har vært aktuelt og ansvarsfordelingen kan bli uklar.

For det tredje handler det om behandlings av helseopplysninger. Uklar ansvarsfordeling kan i verste fall føre til at helseopplysninger kommer på avveie. Fordi det gjelder spesielt sensitive opplysninger gjør det seg ekstra gjeldende å unngå slike konsekvenser.

Pasientjournalloven og dens forarbeider er fra 2014 lovarbeidet og tar ikke høyde for den siste utviklingen i EU-retten. Dette er et viktig bakteppe for hvorfor det har praktisk interesse å analysere reglene om felles behandlingsansvar mellom helseforetak.

1.3 Rettskildebildet og metode

Problemstillingen legger opp til en rettsdogmatisk analyse. Oppgaven tar for seg regelverk om personopplysningsvern innenfor to rettsområder. Dette påvirker både rettskildebildet og metoden som er brukt. Både norske og internasjonale kilder tas i bruk.

Oppgaven tar utgangspunkt i norske rettskilder fordi personvernforordningen er implementert i norsk rett og må derfor bruke norsk juridisk metode. Forordningen er likevel en

internasjonal kilde som Norge er folkerettslig forpliktet via EØS-avtalen til å følge. Dette får innflytelse på tolkningen.

Personvernforordningen er det øverste regelverket for personopplysningsvern i Norge og det er denne som danner det rettslige utgangspunktet i oppgaven.

(7)

Forordningen fikk anvendelse i EU-landene fra 25. mai 2018⁴, og erstattet med det

personverndirektivet⁵, heretter kalt 95-direktivet. Forordningen ble gjort til norsk lov gjennom personopplysningsloven⁶ § 32 første ledd. Denne loven trådte i kraft 20. juli 2018 og erstattet samtidig den gamle personopplysningsloven fra år 2000⁷. Forordningen er tatt direkte inn i den nye personopplysningsloven i en uoffisiell norsk oversettelse og er dermed inkorporert som norsk lov. Oppgaven vil referere til den norske oversettelsen, men vil også vise til den engelske teksten der det er relevant.

EU-retten er en autonom rettsorden som innebærer at EU-bestemmelser skal tolkes

selvstendig og ensartet uavhengig av nasjonal juridisk metode, rettskultur eller begrepsbruk i de enkelte landene.⁸ Dette innebærer at personvernforordningen må tolkes etter EU-rettslig metode selv om den er tatt inn i norsk lov. EU-rettslig metode innebærer at begreper og ord i en rettsakt på samme måte som i norsk juridisk metode må klarlegges. EU-rettsakter

inneholder vid bruk av legaldefinisjoner, og der disse finnes skal dette legges til grunn for tolkningen. Der dette ikke finnes, skal det brukes en naturlig språklig forståelse av ordlyden.⁹ Ved tolkning av EU-bestemmelser skal det også tas hensyn til konteksten og formålet med rettsakten og bestemmelsen.¹⁰ En kontekstuell tolkning innebærer at den sammenheng som EU-teksten inngår i kan trekkes inn i fortolkningen av en EU-bestemmelse.¹¹ Fortaler til rettsakter inngår som en del av konteksten og må tas i betraktning ved fortolkning. Disse forklarer sentrale begreper og viser hva som er formålet med rettsakten. EU-domstol bruker ofte fortaler i avgjørelser som støttemomenter, men har presisert at fortaler ikke er rettslig bindende og ikke kan brukes til å fravike en rettsakt eller gå i strid med ordlyd.¹² Slik blir fortalen til forordningen også brukt i denne oppgaven.

En formålsrettet tolkning av EU-bestemmelser innebærer at «formålet med dem fremmes i størst mulig utstrekning, eller i det minste slik at måloppnåelsen ikke hindres».¹³ Slike

4 For (EU) 2016/679 art. 99 nr. 2

5 Europaparlaments- og rådsdirektiv 95/46/EF av 24. oktober 1995 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger. [Personverndirektivet]

6 Lov 15. juni 2018 nr. 38 om behandling av personopplysninger (personopplysningsloven)

7 Lov 14. april 2000 nr. 31 om behandling av personopplysninger (personopplysningsloven – poppyl)

8 Haukeland Fredriksen og Mathisen (2018) s. 309

11 Haukeland Fredriksen og Mathisen (2018) s. 313-314

12 Haukeland Fredriksen og Mathisen (2018) s. 340-341

(8)

tolkninger står sentralt ved tolkninger av EU-rett. Hvis en konkret bestemmelse har et uttalt formål er dette utgangspunktet, men det må også sees hen til en rettsakts overordnede

formål.¹⁴ I denne oppgaven vil en slik formålsrettet og kontekstuell tolkning legges til grunn.

Formålet til personvernforordningen å sikre et godt vern om fysiske personer i forbindelse med behandling av personopplysninger.¹⁵ Dette er gjennomgående i hele regelverket og har preget avgjørelsene fra EU-domstolen.

Etterarbeider og retningslinjer er kilder som blir til etter en rettsakt har blitt vedtatt. Det er knyttet betenkeligheter til å la disse ha selvstendig rettskildevekt.¹⁶ EU-domstolen bruker likevel slike kilder, men ofte som bekreftelse på en tolkning de allerede har kommet med.¹⁷ Artikkel 29-gruppen var en EU-instans med representanter fra medlemslands datatilsyn som jobber med personvern. Gruppen ble opprettet med hjemmel i 95-direktivets artikkel 29 og har kommet med flere veiledninger om forståelsen av personvernregelverket. Etter

forordningen trådte i kraft er Artikkel 29-gruppen opphevet og erstattet med European Data Protection Board (EDPB). Disse retningslinjene har formelt ikke samme rettslige vekt som forordningen, men fordi de er gitt ut av EU og representanter fra datatilsyn er de en god kilde på hvordan forordningen skal forstås.¹⁸ Disse blir også brukt av EU-domstolen som kilde.

Oppgaven bruker en veileder fra Artikkel 29-gruppen kalt «Opinion 1/2010 on the concept of

«controller» and «processor»»¹⁹ (WP 169). Denne omhandler forståelsen av

behandlingsansvarlig etter 95-direktivet. Fordi mange av reglene fra direktivet er videreført i forordningen er denne godkjent av EDPB og fortsatt relevant for forståelsen av

behandlingsansvarlig. Veilederen er også vektlagt i den norske kommentarutgaven til personvernforordningen.²⁰ Der er det lagt til grunn at slike veiledere er viktige og tunge rettskilder, blant annet fordi det finnes lite annen juridisk litteratur om

15 For (EU) 2016/679 fortalen punkt 1 og artikkel 1

18 Jarbekk og Sommerfeldt (2019) s. 38

19 Artikkel 29-gruppen, Opinion 1/2010 on the concepts of "controller" and "processor", Adopted on 16 February 2010, WP 169.

(9)

personvernforordningen.²¹ Dette er også grunnen til at den brukes og vektlegges i stor grad i denne oppgaven.

EU-domstolens avgjørelser er en «tungtveiende rettskilde som det kreves gode grunner for å avvike».²² Oppgaven tar for seg tre nylig avsagte EU-dommer som omhandler felles

behandlingsansvar. Dommene som blir brukt i oppgaven er prejudisielle tolkningsuttalelser jf.

TEUV artikkel 267.²³ Her får domstolen spørsmål fra medlemsstatens domstoler om hvordan bestemmelser i rettsakter skal forstås. Domstolen får redegjørelse om faktum og hvilke nasjonale regler som er bakgrunn for saken, men løser bare spørsmålet om hvordan EU-retten skal forstås og ikke selve tvisten.²⁴

Forordningen er på visse områder veldig generell og åpner opp for særlovgivning i nasjonal rett. Dermed blir også pasientjournalloven en sentral bestemmelse for drøftelsen om

behandling av opplysninger i helsesektor.

Forordningen har bakgrunn i behandling av personopplysninger i næringsliv og

forbrukersektor. Reglene i GDPR er dermed ikke tilpasset behandling av helseopplysninger i helsesektoren, men den skal likevel gjelde også her.²⁵ Helselovene er i stor grad tilpasset forordningen og det er forordningen som inneholder det overordnede regelsettet som gjelder for all behandling av helseopplysninger. Forordningen gjelder så langt ikke annet følger av pasientjournalloven jf. § 5. Pasientjournalloven kan bare utfylle, presisere og supplere det som følger av GDPR og den må derfor alltid leses i lys av forordningen.²⁶ EØS-avtalen innebærer at staten ikke kan lage egne nasjonale regler om det samme som fremkommer i forordningen. Derfor står mange av de viktigste kravene for personvern i forordningen og ikke i pasientjournalloven.

1.4 Avgrensning og videre fremstilling

Oppgaven behandler felles behandlingsansvar og det avgrenses mot andre former for samarbeid om behandling av opplysninger, slik som databehandlerrelasjoner etter artikkel 4 nr. 8.

23 Traktaten om Den europeiske unions virkemåte. Konsolidert versjon 2016. (2016/C 202/01)

24 Fredrik Sejersted mfl. (2014) s.235

25 Engelschiøn og Vigerust (2019) s. 25

(10)

Oppgaven vil ikke gå inn på de generelle krav som stilles for å behandle personopplysninger lovlig slik som behandlingsgrunnlag jf. forordningen artikkel 6 nr. 1 bokstav a til f. Det kan kort nevnes at det er den behandlingsansvarlige som må sørge for å ha hjemmel for

behandling av personopplysninger i et lovlig behandlingsgrunnlag jf. forordningen artikkel 24, og som må vurdere hvilket behandlingsgrunnlag som passer for den konkrete

behandlingen. For den videre behandlingen av oppgavens tema og diskusjon antas det at aktørene i et felles behandlingsansvar oppfyller kravet om lovlig behandlingsgrunnlag.

Oppgaven behandler felles behandlingsansvar mellom virksomheter ved behandling av helseopplysninger i forbindelse med ytelse av helsehjelp. Dermed er det bare

pasientjournalloven som kommer til anvendelse av de norske lovene som regulerer behandling av helseopplysninger. Det er flere lover som regulerer behandling av

helseopplysninger som foregår for forskjellige formål. Oppgaven tar ikke for seg behandling av helseopplysninger for andre formål enn å yte helsehjelp. Behandling for andre formål kan være til statistikk, forskning, kvalitetssikring av helsehjelpen mv. jf. helseregisterloven § 3.²⁷ Oppgaven har seks kapitler. I kapittel 2 gjennomgås begreper som er viktig for den videre drøftelsen. I kapittel 3 beskrives generelt om hva konseptet behandlingsansvarlig innebærer. I kapittel 4 redegjøres det for regelverket rundt felles behandlingsansvar slik det fremkommer i personvernforordningen artikkel 26. Siste del av kapittelet tar for seg den utviklingen rundt felles behandlingsansvar i EU-domstolen. Kapittel 5 redegjør for muligheten for

samarbeidende helsevirksomheter etter pasientjournalloven § 9 og sammenholder dette med personvernforordningen. Avslutningsvis blir det i kapittel 6 gjennomgått eksempler som viser hvordan reglene i pasientjournalloven § 9 sammenholdt med reglene i

personvernforordningen kan slå ut i praksis.

1.5 Terminologi

Oppgaven dreier seg om to rettsområder der det benyttes forskjellige begreper for det samme konseptet om behandlingsansvar og behandlingsansvarlig. I helselovgivningen er det

tilsvarende begrepet dataansvar og dataansvarlig. Årsaken er nødvendigheten for en annen terminologi i helsesektoren for å unngå forveksling med den fysiske og medisinske

behandlingen av pasienter. Innen personopplysningsvern handler behandlingsansvar om

27 Lov 20. juni 2014 nr. 43 om helseregistre og behandling av helseopplysninger (helseregisterloven)

(11)

ansvar for behandling av personopplysninger. Det er viktig at leser er klar over dette da oppgaven innebærer utstrakt bruk av begge skrivemåtene.

Hva som er en personopplysning og en helseopplysning er et sentralt element i forordningen.

Her nevnes det kort hva som ligger i dette da det ikke har stor videre betydning for oppgaven.

Personopplysninger kan være «enhver opplysning om en identifisert eller identifiserbar fysisk person ...» jf. forordningen artikkel 4 nr. 1. Ordlyden «enhver» tilsier at definisjonene er omfattende, og dette samsvarer med EU-domstolen sin tolkning.²⁸

Personvernforordningen opererer med to forskjellige kategorier av personopplysninger. Den første er de alminnelige personopplysningene som følger av artikkel 4 nr. 1 og som ikke dekkes av definisjonen i artikkel 9 om særlige kategorier av personopplysninger. Det vil for eksempel være navn, adresse, fødselsnummer, epost og telefonnummer, men kan også

omfatte en del andre opplysninger. Den andre kategorien følger den uttømmende definisjonen i artikkel 9 nr. 1. Her er det oppramset personopplysninger av spesielt sensitiv karakter, blant annet helseopplysninger, som har et sterkere behov for vern.²⁹ Behandling av disse er i utgangspunktet forbudt etter artikkel 9 nr. 1, men det følger unntak nr. 2 bokstav a til j hvor det fremkommer vilkår som må være oppfylt for å kunne behandle slike personopplysninger.

Helseopplysninger er sensitiv informasjon som går under dette særskilte vernet. Dette er

«personopplysninger om en fysisk persons fysiske eller psykiske helse» jf. GDPR artikkel 4 nr. 15. Sammenholdt med fortalen³⁰ er helseopplysninger alle opplysninger som sier noe om den registrerte sin fysiske eller psykiske helsetilstand tidligere, nå og fremtidig.³¹

Helseopplysninger er etter dette et omfattende begrep som vil inkludere det meste som kan tenkes å være helserelatert. Denne definisjonen av helseopplysninger er den samme i alle helselovene, se blant annet pasientjournalloven § 2 bokstav b.

28 Sak C-434/16 Peter Nowak v. Data Protection Commissioner in Ireland avsnitt 34

29 Wessel-Aas og Ødegaard (2018) s. 107

30 For (EU) 2016/679 fortalen punkt 35

(12)

2 Generelle begreper

2.1 Aktørene i personvernforordningen

Regelverket inneholder og retter seg i hovedsak mot tre hovedaktører. Disse kalles den registrerte, den behandlingsansvarlige og databehandleren. Oppgaven tar for seg den behandlingsansvarlige, men vil av naturlige årsaker også være innom de to andre aktørene.

Forordningen regulerer situasjoner når enkeltpersoner får sine personopplysninger behandlet.

Etter forordningen artikkel 4 nr. 1 anses «en identifisert eller identifiserbar fysisk person»

som den registrerte. Det vil si alle enkeltpersoner i den grad de er identifiserbare, og vil utelukke opplysninger om juridiske personer.³² Behandling foregår som regel av virksomheter og i denne sammenheng er individene ofte den svakere part som trenger beskyttelse mot misbruk.

Virksomheter eller offentlige organer kan for forskjellige formål behandle

personopplysninger og vil da være behandlingsansvarlige.³³ Forordningen gir i all hovedsak regler og plikter for den aktør som anses som behandlingsansvarlig. En behandlingsansvarlig vil etter forordningen artikkel 4 nr. 7 være den virksomhet som alene eller sammen med andre bestemmer formål og virkemidler for behandlingen av personopplysninger. Den

behandlingsansvarlige er det primære pliktsubjektet og har det overordnede ansvaret for at behandlinger som foregår under deres kontroll er i samsvar med personvernforordningen.³⁴ Noen av de sentrale pliktene til en behandlingsansvarlig er å sikre gyldig

behandlingsgrunnlag, etablere tekniske og organisatoriske tiltak for å ivareta

personopplysningssikkerheten, lage oversikt over all behandling av personopplysninger, gjennomføre personvernkonsekvensvurderinger, håndtere brudd på informasjonssikkerheten og ivareta den registrertes rettigheter.

En databehandler er virksomhet, offentlig myndighet eller annet organ som behandler personopplysninger på vegne av den behandlingsansvarlige jf. forordningen artikkel 4 nr. 8.

En typisk databehandler er bedrift som leverer tjenester som en behandlingsansvarlig har tatt bruk av som for eksempel leverandør av IT-tjenester til en bedrift, HR-systemer eller

34 Jarbekk og Sommerfeldt (2019) s. 45 og For (EU) 2016/679 art. 5 nr. 2 og 24

(13)

regnskapssystemer.³⁵ Det sentrale ved et slikt forhold er at en databehandler bare kan behandle personopplysninger etter instruks fra den behandlingsansvarlige og ikke selv bestemme bruken. Det skal ved bruk av databehandlere foreligge en avtale eller annet rettslig dokument mellom behandlingsansvarlig og databehandler jf. forordningen artikkel 28 nr. 3.

Databehandleren er ofte den som har den daglige befatningen med personopplysningene,³⁶ men ikke det overordnede ansvaret. Dette kan fremstå som misvisende for enkeltpersoner og det er derfor viktig med klar ansvarsfordeling og informasjon om dette til de registrerte.

2.2 Ansvar for grunnleggende personvernprinsipper

Personvernforordningen oppstiller i artikkel 5 nr. 1 bokstav a til f flere prinsipper som stiller krav til behandlingen av personopplysninger. Etter artikkel 5 nr. 2 er det den

behandlingsansvarlige som er overordnet ansvarlig for at disse prinsippene overholdes og skal i tillegg kunne bevise overholdelsen.

For denne oppgaven er det mest relevant å nevne prinsippet som fremkommer i bokstav b, nemlig prinsippet om formålsbegrensning. Etter denne skal personopplysninger skal samles inn for «spesifikke, uttrykkelig angitte og berettigede formål» og ikke viderebehandles for andre formål som er uforenelige med disse. Hvem som bestemmer formålet med en behandling har stod betydning senere i oppgaven for hvem som anses som

behandlingsansvarlig og derav også felles behandlingsansvarlig.

2.3 «Behandling» av personopplysninger og helseopplysninger

«Behandling» av personopplysninger er i forordningen artikkel 4 nr. 2 definert som «enhver operasjon eller rekke av operasjoner som gjøres med personopplysninger». Bruk av ordlyden

«enhver» signaliserer at det er et vidt begrep som skal tenkes å dekke de fleste måter personopplysninger blir behandlet på. Ifølge artikkel 4 nr. 2 vil slik behandling foreligge enten den er «automatisert eller ikke». Fortalen til forordningen uttaler at vernet om

personopplysninger ikke må omgås og derfor skal være teknologinøytralt og ikke avhengig av teknikken som brukes.³⁷ Videre gir artikkel 4 nr. 2 en ikke uttømmende liste over alternativer som utgjør behandling slik som for eksempel innsamling, lagring, endring, konsultering, spredning og utlevering ved overføring. På bakgrunn av dette vil behandling dermed utgjøre

(14)

de fleste befatninger med personopplysninger og gir således et bredt vern for slike operasjoner.

Bruk av ordlyden «rekke av operasjoner» indikerer at flere av alternativene for behandling kan tilsammen utgjøre én behandling.³⁸ Definisjonen sier derimot ikke noe om hva som vil skille flere behandlinger fra hverandre. Det er naturlig å se hen til hvilke formål som er knyttet til behandlingene. Der det skjer flere operasjoner av alternativene nevnt ovenfor og disse foregår for det samme formålet skal disse anses som én samlet behandling av

personopplysninger.³⁹

Behandling av helseopplysninger er definert i pasientjournalloven § 2 bokstav c. Denne korresponderer med personvernforordningen og gjelder tilsvarende alle slike operasjoner som gjøres med helseopplysninger. Behandling av helseopplysninger gjøres blant annet som ledd i å oppfylle dokumentasjonsplikten til helsepersonell i forbindelse med helsehjelp jf.

helsepersonelloven § 39.⁴⁰ Dette kan være registrering av opplysninger som gis av pasient ved legebesøk i journal, forskrivning av medisiner, nedtegnelse av hvilken behandling som er gitt, epikrise, lesing i journal, gi innsyn til pasient til journal osv.⁴¹ Etter pasientjournalloven § 3 vil slik behandling av helseopplysninger begrenses til de som er «nødvendig for å yte, administrere eller kvalitetssikre helsehjelp til enkeltpersoner». Det er bare behandling for disse formål som er omfattet av pasientjournalloven.

Når det gjelder formålssammenheng så vil innsamling av opplysninger fra flere pasienter fremstå som enkeltstående behandlinger, men vil etter forordningens betydning utgjøre én behandling der det gjøres for samme formål. Det er formålet med behandlingen som knytter forskjellige måter av behandling sammen til én behandling.⁴²

Begrepet «behandling» brukes i pasientjournalloven i to former.⁴³ Den første er når bestemmelsen viser til en enkeltstående operasjon som utgjør behandling, eksempelvis tilgjengeliggjøring av opplysninger etter pasientjournalloven § 19. Den andre er sammensatte behandlingsmåter som foretas for å oppnå et formål slik som sikkerhetstiltak i § 22 eller

40 Lov 2. juli 1999 nr. 64 om helsepersonell m.v. (helsepersonelloven)

43 Engelschiøn og Vigerust (2019) s. 50-51

(15)

internkontroll i § 23. Journalføringsplikten er et slikt sammensatt formål bestemt av lov.⁴⁴ Hvilke operasjoner av behandling, hvor mange og i hvilken rekke som vil utgjøre én behandling må klargjøres konkret.⁴⁵

Avklaring av hva som utgjør én behandling har en sentral betydning for plassering av behandlingsansvar. Et samarbeid om behandling av helseopplysninger kan omfatte én eller flere behandlinger, og hvordan man avgrenser mellom ulike behandlinger kan ha betydning for ansvarsforholdet og for vurderingen av om det foreligger felles behandlingsansvar.

2.4 Behandlingsrettede helseregistre

Behandlingsrettede helseregister er definert som «pasientjournal- og informasjonssystem eller annet register, fortegnelse eller lignende, der helseopplysninger er lagret systematisk, slik at opplysninger om den enkelte kan finnes igjen, og som skal gi grunnlag for helsehjelp eller administrasjon av helsehjelp til enkeltpersoner» jf. pasientjournalloven § 2 bokstav d.

Ordlyden «behandlingsrettede» tilsier at registrene må ha en sammenheng helsehjelp. Dette vil innebære at behandlingen av opplysninger er knyttet til individrettede helsetiltak eller handlinger rettet mot den registrerte i helsehjelpsformål eller i tilknytning til at det gis helsehjelp.⁴⁶

Ordlyden i pasientjournalloven § 2 bokstav d i sin helhet tilsier at «behandlingsrettede helseregistre» er et vidt begrep som vil omfatte et stort omfang registre og systemer. Dette støttes i forarbeidene hvor det videre presiseres at begrepet skal være teknologinøytralt, det vil si at slike registre kan være elektroniske, manuelle eller bruke andre tekniske hjelpemidler.⁴⁷ Som forarbeidene viser vil begrepet med dette omfatte eksempler som hovedjournal,

kjernejournal, pasientkort, individuell plan, ulike fagsystemer, pasientadministrative systemer og manuelle systemer som for eksempel en fysisk tavle på et akuttmottak. Dette er ikke uttømmende eksempler på hva det kan samarbeides om.⁴⁸

44 Helsepersonelloven §§ 39 og 40

45 Engelschiøn og Vigerust (2019) s. 50-51

47 Prop.72 L (2013-2014) s. 172

48 Prop.72 L (2013-2014) s. 176

(16)

Skillet mellom manuelt og elektronisk har likevel mindre betydning siden det følger av forskrift at alle behandlingsrettede helseregistre skal være elektroniske.⁴⁹

Definisjonen skiller heller ikke mellom ulike typer behandlingsrettede helseregistre. Etter forarbeidene er det de samme krav som stilles til slike registre enten om de er

informasjonssystem, interne fagsystemer eller systemer på tvers av virksomheter og disipliner. Det viktige er uansett at helseopplysningsvern og integritetsvern opprettholdes uavhengig av disse systemer.⁵⁰ Opplysninger om samme pasient er i dag registrert flere steder i ulike systemer og slik kommer det til å være i lang tid fremover før alt blir samkjørt. Derfor er det viktig at loven gjelder generelt og med samme krav for alle slike systemer som brukes ved ytelse av helsehjelp for å gi likeverdig vern.

Behandlingsrettede helseregistre er et ledd i oppfyllelsen av helsepersonells

dokumentasjonsplikt i helsepersonelloven § 39 jf. pasientjournalloven § 8. De vil derfor inneholde all informasjon som er relevant for at helsehjelp skal ytes i den utstrekning det er nødvendig jf. pasientjournalloven § 6. Dette vil utgjøre et stort omfang av detaljert

informasjon om en pasients behandling og helsetilstand.

Etter forarbeidene kan slike registre være internt i én virksomhet eller utgjøre et system som to eller flere virksomheter samarbeider om.⁵¹ Behandlingsrettede helseregistre vil inneholde informasjon av sensitiv art og informasjon som har kritisk betydning for ytelse av helsehjelp.

Dette gjør at håndteringen av disse blir viktig på flere måter. Blant annet når det gjelder ansvarsforholdene når det er inngått samarbeid om slike registre mellom flere aktører etter pasientjournalloven § 9. Oppgaven vil nedenfor drøfte ansvarsforholdene der hvor det foreligger samarbeid om slike registre.

2.5 Helseforetak

I Norge har vi idag fire offentlige helseregioner med hvert sitt regionale helseforetak som er eid av staten. I hver region har et regionalt helseforetak ansvaret for at helsetilbudet til befolkningen om spesialiserte helsetjenester er tilstrekkelig organisert og administrert. Det er dermed de regionale helseforetakene som driver sykehusene i tillegg til andre offentlige

49 Forskrift 1. juli 2015 nr. 853 om IKT-standarder i helse- og omsorgstjenesten § 3 og Forskrift 1. mars 2019 nr.

168 om pasientjournal (pasientjournalforskriften) § 12 første ledd

50 Prop.72 L (2013-2014) s. 81

51 Prop.72 L (2013-2014) s. 172

(17)

helseforetak. De har også andre oppgaver slik som forskning og utdanning. De regionale helseforetakene er lovpålagt å iverksette nasjonal helsepolitikk gjennom å yte helsetjenester jf. helseforetaksloven § 2 a.⁵² Dette gjør de enten ved at sykehusene utfører oppgavene eller at tjenestene blir tilbudt av private aktører som det samarbeides med.⁵³

3 Behandlingsansvar som konsept

Den behandlingsansvarlig er ifølge forordningen «en fysisk eller juridisk person, en offentlig myndighet, en institusjon eller ethvert annet organ som alene eller sammen med andre bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes».⁵⁴ Dette samsvarer med definisjonen som gjaldt under 95-direktivet. Konseptet med behandlingsansvarlig gjennomsyrer hele personvernlovgivningen og dukker opp flere steder i forordningen.

Konseptet med behandlingsansvarlig er autonomt.⁵⁵ Dette innebærer at konseptet med

behandlingsansvarlig skal tolkes ut ifra det generelle personvernregelverket som foreligger til enhver tid og ikke bli påvirket av nasjonale lands rett. Dette er et viktig prinsipp, slik at alle land som er bundet av forordningen har samme tolkning av hvem som anses som

behandlingsansvarlig.

Det viktigste prinsippet når det gjelder behandlingsansvarlig er at den virksomheten som setter i gang med behandling av personopplysninger for eget formål i all hovedsak vil bli regnet som behandlingsansvarlig.⁵⁶ Det er denne som dermed blir ansvarlig for alle pliktene som er pålagt en behandlingsansvarlig og må vise at de følger alle personvernreglene. Dette må ikke tas til inntekt for at alle som behandler personopplysninger er behandlingsansvarlige Som nevnt er ofte en databehandler som gjør dette på vegne av den behandlingsansvarlige.

For eksempel er det den behandlingsansvarlige som er ansvarlig for at prinsippene for behandling av personopplysninger som nevnt ovenfor overholdes jf. artikkel 5 nr. 2.

Prinsippene handler mye om kvaliteten på data som blir behandlet som for eksempel at personopplysninger skal behandles på en rimelig, åpen og lovlig måte.⁵⁷ Ansvaret etter

52 Lov 15. juni nr. 93 om helseforetak m.m. (helseforetaksloven)

53 Regjeringen.no (2014) avsnitt 1 og 2

54 For (EU) 2016/679 art. 4 nr. 7

55 WP 169 s. 9

57 For (EU) 2016/679 art. 5 nr. 1 bokstav a

(18)

artikkel 5 nr. 2 betyr dermed at alle artikler i forordningen som omhandler lovligheten av behandlingen og setter vilkår for dette retter seg mot den behandlingsansvarlige.⁵⁸

Videre har konseptet med en behandlingsansvarlig en direkte sammenheng med artiklene som regulerer rettighetene til de registrerte i forordningens kapittel 3. Artikkel 13 og 14 viser individets rett til å bli informert. Ordlyden «skal den behandlingsansvarlige» i disse viser at det er den behandlingsansvarlige som er pliktig til å realisere denne retten. På lik måte er artikkel 15 om retten til innsyn formulert slik at det er den behandlingsansvarlige som har plikt til å bekrefte at et individs personopplysninger behandles og gi innsyn i denne behandlingen. På samme måte skaper også øvrige rettighetsbestemmelser i

personvernforordningen kapittel 3 tilsvarende plikter for den som er behandlingsansvarlig.

Klare regler om hvem som er behandlingsansvarlig har dermed stor betydning for individets håndheving av sine personvernrettigheter.

Konseptet med å ha en behandlingsansvarlig har som formål å plassere ansvar for at

behandling av personopplysninger er i samsvar med personvernreglene og sikre rettighetene til individet. Dette vil være i samsvar med formålet med forordningen som er å sikre «vern av fysiske personers grunnleggende rettigheter og friheter, særlig deres rett til vern av

personopplysninger».⁵⁹ Et slikt formål for et lovverk, nemlig å sikre rettigheter for individer vil bare fungere dersom noen blir holdt ansvarlige. Det er nødvendig at de som skal holdes ansvarlige blir oppmuntret til dette både gjennom lov og trussel om erstatning. På denne måten får de insentiv til å treffe alle tiltak som er nødvendig for å sikre at forordningen blir fulgt også i praksis.⁶⁰ Ansvar for erstatning for brudd på forordningen ligger også til den eller de som er behandlingsansvarlige etter artikkel 82 nr. 2.

3.1 Den personelle siden: Hvem kan være behandlingsansvarlig?

Definisjonen av behandlingsansvarlig har tre sider.⁶¹ For det første demonstrerer den hvem som kan være behandlingsansvarlig. Det kan være «en fysisk eller juridisk person, offentlig myndighet, institusjon eller annet organ». Ordlyden tilsier at dette innebærer et stort omfang av subjekter som kan være behandlingsansvarlig slik som privatpersoner, virksomheter og bedrifter samt offentlige organer. Dette er også meningen med definisjonen da den skal gi et

58 WP 169 s. 4

59 For (EU) 2016/679 art. 1 nr. 2

60 WP 169 s. 4

(19)

effektivt middel for å sikre en klar og utvetydig identifikasjon av hvem som er

behandlingsansvarlig i alle situasjoner.⁶² Ifølge Artikkel 29-gruppen skal angivelsen av hvem som er behandlingsansvarlig også forsøke å samsvare med annen praksis på det rettsområdet det gjelder.⁶³ For eksempel vil lovgivning og regler om prosessuell handleevne innenfor selskapsrett, forvaltningsrett og strafferett tilsi hvilke personer eller organer som er overordnet ansvarlig på også andre samfunnsområder og som også bør være behandlingsansvarlig for personopplysninger.

Som et utgangspunkt vil den juridiske personen som oftest anses som behandlingsansvarlig da regelverket i stor grad retter seg mot behandling av opplysninger som ledd i

næringsvirksomhet og offentlig virksomhet. Også når en fysisk person er utpekt som ansvarlig for behandlingen, men opererer på vegne av og innenfor et selskap eller offentlig organ, vil det være den juridiske personen (selskapet eller offentlig organ) som vil bli ansett som behandlingsansvarlig. Derimot kan en fysisk person bli ansett som behandlingsansvarlig og ansvarlig for brudd når denne bruker data for sine egne formål og ikke som ledd i

aktiviteter til selskapet eller offentlige organet.⁶⁴

3.2 Den materielle siden: Hva må til for å bli behandlingsansvarlig?

Det følger av forordningen artikkel 4 nr. 7 at behandlingsansvarlig er den som «bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes».

3.2.1 «bestemmer»

Før måtte den som var behandlingsansvarlig være utpekt til dette i lov.⁶⁵ Dagens ordlyd sier at den som «bestemmer» formål og midler er behandlingsansvarlig. En naturlig språklig

forståelse av ordlyden tilsier at det ikke trengs noen formell myndighet, men at det er den som rent faktisk utøver bestemmelsen som blir ansvarlig. Muligheten til å bestemme formål og midler kan også komme fra lov slik det følger av siste del av artikkel 4 nr. 7.⁶⁶ Det er derimot

62 WP 169 s. 15

63 WP 169 s. 15

64 WP 169 s. 17

65 I Europarådets persondatakonvensjon fra 1981 artikkel 2 bokstav d vil den behandlingsansvarlige («ansvarlig registerfører») være den «som i henhold til nasjonal lovgivning har kompetanse til å avgjøre ...» formålet med behandlingen. Etter denne var det loven som skulle avgjøre hvem som var behandlingsansvarlig.

66 Eksempel på dette er Forskrift 21. desember 2001 nr. 1476 om innsamling og behandling av helseopplysninger i Dødsårsaksregisteret § 1-4 første ledd

(20)

i større grad slik at det er basert på faktiske omstendigheter i hvert enkelt tilfelle. Situasjoner der behandlingsansvaret følger av lov eller forskrift faller utenfor denne oppgavens tema.

WP29 har uttalt følgende om begrepet behandlingsansvarlig, “the concept of controller is … functional, in the sense that it is intended to allocate responsibilities where the factual influence is, and thus based on a factual rather than a formal analysis”.⁶⁷ Det avgjørende er etter dette hvem som faktisk bestemmer hva som er formål og midler med en behandling av personopplysninger i hvert enkelt tilfelle. For å avgjøre hvem som har den faktiske

muligheten til å bestemme må det vurderes konkret i hvert tilfelle hvorfor en

behandlingsprosess foregår. Noen viktig spørsmål er i den sammenheng hos hvilken aktør foregår behandlingen, hvem som satte i gang behandlingen og hvem som bestemmer hvilke midler som skal brukes.⁶⁸

Et slikt faktisk avgjørelsesgrunnlag i stedet for en formell utnevnelse av hvem som er behandlingsansvarlig vil gi større fleksibilitet for de involverte, og kan dermed i større grad reflektere virkeligheten. Det kan være at formell utnevnelse av hvem som skal være

behandlingsansvarlig, enten ved lov eller avtale, ikke vil reflektere realiteten, ved at den utnevner noen til behandlingsansvarlig som ikke egentlig er den som faktisk bestemmer formål med og midlene for behandlingen.⁶⁹

3.2.2 «formålet med behandlingen»

Det neste momentet er hva som må bestemmes for å bli ansett som behandlingsansvarlig. Det første vilkåret at den som bestemmer «formålet med behandlingen av personopplysninger ...»

er behandlingsansvarlig jf. artikkel 4 nr. 7.

Generelt må «formål» forstås som et mål som søkes realisert.⁷⁰ Artikkel 29-gruppen nevner det engelske ordet «purpose» og dets betydning som et forventet utfall som er tiltenkt eller som veileder handlinger.⁷¹ Ordlyden i artikkel 4 nr. 7 «formålet med behandlingen av personopplysninger» forstås etter en naturlig språklig forståelse som årsaken til at en

behandling er satt i gang og det som ønskes oppnådd. Selve avgjørelsen eller fastsettelsen av formålet med en behandling er dermed et sentralt spørsmål for at det i det hele tatt settes i

67 WP 169 s. 9

68 WP 169 s. 8

69 WP 169 s. 8

70 Det norske akademis ordbok (udatert)

71 WP 169 s. 13

(21)

gang behandling av personopplysninger. Den eller de som da bestemmer formålet er dermed overordnet ansvarlig for alle plikter og overholdelse av rettigheter som utløses ved at det behandles personopplysninger, og vil være behandlingsansvarlige.

Formålet med behandlingen av personopplysninger har en sentral rolle i regelverket. Blant annet har formålet betydning for bruk av nasjonal rett. Denne oppgaven dreier seg om helseopplysninger som brukes for å yte helsehjelp som formål og da er det

pasientjournalloven som blir brukt. Hadde det vært forskning som var formålet med en innsamling, måtte man brukt helseforskningsloven eller helseregisterloven.⁷²

3.2.3 «hvilke midler som skal benyttes»

Det andre vilkåret i artikkel 4 nr. 7 for å anses som behandlingsansvarlig er at en aktør

«bestemmer ... hvilke midler som skal benyttes» for behandlingen av opplysninger. Midler må generelt forstås som virkemiddel for å oppnå noe. I denne sammenheng må det bety et virkemiddel for å oppnå formålet med behandlingen av personopplysninger. Artikkel 29- gruppen definerer det engelske ordet «means» som hvordan et resultat oppnås eller et mål nås.⁷³ Ordlyden synes med dette å være vid da den ikke nevner hva slags midler det er snakk om.

Artikkel 29-gruppen har videre uttalt at virkemidler må forstås som mer enn bare avgjørelser om hvilke tekniske virkemidler som skal brukes slik som valg av programvare og

maskinvare.⁷⁴ Det vil også innebære andre avgjørelser som støtter opp om formålet med behandlingen og hvordan dette skal gjennomføres for å oppnå formålet. Beslutningen om hvilke midler som skal brukes vil dermed innebære spørsmål om tekniske løsninger for behandlingen, men også mer organisatorisk spørsmål som knytter seg til andre sider ved behandlingen. De organisatoriske avgjørelsene kan innebære avgjørelser av hvilke opplysninger som skal behandles, hvilke tredjeparter som skal ha tilgang og hvor lenge opplysninger kan lagres før de må slettes.

Deler av avgjørelsen av midler kan ifølge Artikkel 29-gruppen delegeres til en databehandler som gjør dette på vegne av den behandlingsansvarlige.⁷⁵ Dette gjelder de tekniske og

73 WP 169 s. 13

74 WP 169 s. 14

75 WP 169 s. 14

(22)

organisatoriske spørsmål. De mer sentrale spørsmål som angår lovligheten av behandlingen slik som hva slags data som skal behandles, hvor lenge de kan lagres, hvem som har tilgang må fortsatt avgjøres av den behandlingsansvarlige.

Måten dette praktiseres på er at det behandlingsansvarlige er den som har den overordnede myndigheten til å bestemme hvilke midler som skal benyttes, men at databehandlerens tekniske løsninger og måter å gjøre behandlingen på ofte aksepteres i praksis.

Når det skal vurderes hvem som bestemmer formål og midler er et avgjørende spørsmål på hvilket detaljnivå noen skal bestemme formål og midler for å bli betraktet som en

behandlingsansvarlig.⁷⁶ Ifølge Artikkel 29-gruppen er avgjørelsen av formålet med behandlingen det sentrale spørsmålet for at igangsettelsen av behandlingen av

personopplysninger i det hele tatt skjer.⁷⁷ Den som bestemmer formålet med en behandling av personopplysninger er dermed den som faktisk har kontroll over behandlingen og skal anses som behandlingsansvarlig. Det var før forordningens tid foreslått å presisere begrepet

behandlingsansvarlig til å være virksomhetene som har rett til å bestemme over behandling av personopplysninger i siste instans. Dette må anses som et tungtveiende argument,⁷⁸ men det er bestemmelsen av formålet som er avgjørende.

At en aktør bestemmer hvilke midler som skal benyttes for behandlingen vil ikke

nødvendigvis innebære at denne er behandlingsansvarlig, siden deler av dette kan delegeres til en databehandler.⁷⁹ Bestemmer en aktør hvilke midler som skal benyttes og dette er rent tekniske spørsmål og ikke helt sentrale, kan det være mer nærliggende at denne er en databehandler. Handler bestemmelsen derimot om elementer av hvordan-spørsmålet som er sentrale spørsmål om behandlingen er det nærliggende at denne anses som

behandlingsansvarlig.

Når man ser på hvilke aktører som er med i bestemmelsen av midler vil detaljnivået i bestemmelsen dermed ha betydning. Sagt på annen måte kan det sees på hvilket rom for bestemmelse en databehandler har før denne blir ansett som behandlingsansvarlig. Dette blir en nødvendig vurdering når flere aktører er involvert for å avgjøre hvem som er

76 WP 169 s. 13

77 WP 169 s. 32

78 Vanebo (2019) s. 70 med henvisning til Dag Wiese Schartum og Lee A. Bygrave, Rapport 2006: Utredning av behov for endringer i personopplysningsloven, 2006 s. 30.

79 WP 169 s. 14

(23)

behandlingsansvarlig, om det er databehandlere involvert eller om de må anses som felles behandlingsansvarlige.

3.3 Antall behandlingsansvarlige, pluralistisk kontroll

Den tredje og siste siden i definisjonen slår fast at en behandlingsansvarlig «alene eller sammen med andre» kan ha dette ansvaret. Allerede her åpnes det opp for et felles behandlingsansvar mellom flere aktører. Felles behandlingsansvar vil være hovedfokuset videre i oppgaven.

4 Felles behandlingsansvar

Til nå er det redegjort for grunnleggende begreper som kreves for den videre oppgaven. Det er vist at konseptet med behandlingsansvarlig står sentralt i personvernforordningen for å sikre effektiv beskyttelse av personopplysninger. Oppgavens hovedfokus vil være der flere aktører har dette behandlingsansvaret sammen. Dette kapittelet tar for seg de grunnleggende vilkårene for etablering av felles behandlingsansvar slik det fremkommer av

personvernforordningen. Siste delen av kapittelet vil ta for seg EU-praksis som utdyper innholdet som kan utledes av personvernforordningen.

Som nevnt ovenfor fremkommer det allerede i forordningen artikkel 4 nr. 7 at

behandlingsansvar kan innehas «alene eller sammen med andre», og muligheten for felles behandlingsansvar blir etablert allerede der. Forordningen fastsetter den videre reguleringen av felles behandlingsansvar i artikkel 26. Vilkåret for etablering av felles behandlingsansvar er at «to eller flere behandlingsansvarlige i fellesskap fastsetter formålene med og midlene for behandlingen».

Ordlyden i artikkel 26 ligger dermed nært opp til selve definisjonen av behandlingsansvarlig.

Verken personopplysningsloven fra år 2000 eller 95-direktivet inneholdt bestemmelser om felles behandlingsansvar. Det var likevel forutsatt under disse at dette var mulig, blant annet fordi dette allerede fulgte indirekte av definisjonen av behandlingsansvarlig i 95-direktivet og i gammel personopplysningslov.⁸⁰ I arbeidet med ny personopplysningslov av 2018 ble det ikke sett på som hensiktsmessig med egen nasjonal bestemmelse om felles

behandlingsansvar, da det ville følge direkte av forordningen inntatt i loven. Artikkel 26 er ny med forordningen og gjør at konseptet med felles behandlingsansvar har fått en egen

80 Prop.56 LS (2017-2018) s. 108

(24)

bestemmelse. Innføringen understreker viktigheten med å ha et lovverk som åpner for flere forskjellige ansvarsformer.

Mangfoldet av ulike scenarioer hvor flere aktører behandler persondata sammen er ikke gjort rede for verken i definisjonen til behandlingsansvarlig i artikkel 4 nr. 7 eller i artikkel 26, utover at det er snakk om minst to aktører. Det er i dag mange former og kombinasjoner av samarbeid som er mulig. Blant annet er det mer vanlig at et større antall virksomheter

behandler personopplysninger både samtidig og suksessivt.⁸¹ Nettopp dette er årsaken til den brede definisjon av felles behandlingsansvar. Det ville føre galt av sted dersom lovverket skulle forsøke å redegjøre for de utallige situasjoner som er omfattet.

En av grunnene til at det finnes slikt mangfold av aktører er den vide definisjonen av

«behandling» i forordningen artikkel 4 nr. 2. Den samme definisjonen begrenser heller ikke antallet av aktører som kan bedrive slik aktivitet alene, i fellesskap eller på forskjellige stadier av slik behandling.⁸² På bakgrunn av et slikt mangfold er det spesielt viktig at roller og ansvar enkelt kan plasseres for å hindre manglende overholdelse av regelverket samt at ansvaret ikke blir pulverisert når det er mange aktører tilstede. Dette blir også fremhevet i fortalen til forordningen punkt 79.⁸³ Der fremkommer at et slikt uoversiktlig og utviklende bilde ikke må gå utover vern av de registrertes rettigheter og friheter, ansvaret til aktørene og effektiviteten til regelverket, og at det da er viktig med tydelig fordeling av ansvar. Fortalen nevner spesifikt at dette må skje når en behandlingsansvarlig fastsetter formål og midler sammen med andre.

I neste punkt behandles vilkårene for felles behandlingsansvar slik de fremkommer i artikkel 26. Det følger også et krav om fastsettelse av ansvar i en ordning mellom partene. Dette kravet til formalisering vil drøftes nærmere i sammenheng med pasientjournalloven § 9.

4.1 Artikkel 26

Artikkel 26 nr. 1 første setning slår fast at to eller flere behandlingsansvarlige skal være felles behandlingsansvarlige dersom de i fellesskap fastsetter formålene med og virkemidlene for en behandling. Til dags dato har spørsmålet om felles behandlingsansvar ikke vært behandlet i

82 WP 169 s. 18

(25)

norsk forvaltningspraksis eller domstolspraksis. Dermed har veiledere fra EUs organer og EU-domstolen sine tolkninger stor betydning for anvendelsen av forordningen i Norge.

4.1.1 «to eller flere behandlingsansvarlige»

For at det skal kunne påvises felles behandlingsansvar er det forutsatt i bestemmelsen at det handler om aktører som allerede har eller kan ha behandlingsansvar alene med ordlyden «to eller flere behandlingsansvarlige». Dette betyr at de separat må oppfylle kravene for å være behandlingsansvarlig etter artikkel 4 nr. 7 for den aktuelle behandlingen, blant annet at hver behandlingsansvarlig må ha lovlig rettsgrunnlag for den konkrete behandlingen. Felles behandlingsansvar etter artikkel 26 innebærer dermed ikke en bredere eller en annerledes adgang til å behandle personopplysninger enn hvis parten var alene om det.⁸⁴ I lys av dette sørger bestemmelsen for at partene har mer å ta hensyn til nettopp fordi de er flere om et samarbeid med plikter og ansvar som må koordineres og plasseres hos partene.

Det vil derimot ikke automatisk etableres felles behandlingsansvar der flere aktører som separat oppfyller kravene til behandlingsansvarlig samarbeider eller tar i bruk felles

systemer.⁸⁵ Det avgjørende er fortsatt at bestemmelsen av formålet for behandlingen og hvilke virkemidler som skal tas i bruk fastsettes i fellesskap av slike parter.

Her er ett eksempel. For konserner vil moderselskapet i mange tilfeller anses som eneste behandlingsansvarlig, men ikke som en hovedregel.⁸⁶ I et konsern med flere underselskaper finnes det et felles kunderegister. Her kan det være felles behandlingsansvar fordi flere selskaper i felleskap har bestemt hva formålet med et slikt register skal være og hvilke midler som skal brukes for å få gjennomført behandlingen av personopplysninger i dette

kunderegisteret. Det samme konsernet har også et informasjonssystem til administrering av ansattopplysninger som flere av selskapene bruker for sine respektive ansatte. Her vil det ikke være felles behandlingsansvar selv om flere selskaper bruker det samme systemer. Det

enkelte selskapet vil være ansvarlig for sin respektive behandling av ansattopplysninger i form av å være arbeidsgiver selv om de bruker samme informasjonssystem for behandlingen.

86 Vanebo (2019) s. 73

(26)

Et annet selskap i konsernet som drifter dette informasjonssystemet på vegne av de andre vil bli ansett som databehandler.⁸⁷

4.1.2 «I fellesskap»

Hovedvilkåret for felles behandlingsansvar er at aktørene «i fellesskap» har fastsatt

behandlingens formål og hvilke midler som skal benyttes. Forståelsen av formål og midler vil være likt som beskrevet i punkt 3.2. Det sentrale er hva som ligger i ordbruken «i fellesskap».

En naturlig språklig forståelse tilsier at dette er noe som gjøres av aktørene sammen og hvor de er enige om de samme formål og midler for behandlingen. Ordlyden «i fellesskap» kan også tilsi at aktørene er innforstått med at dette skjer i fellesskap, at de aktivt tar del i fastsettelsen. Noe videre veiledning på hva som ligger i denne ordbruken gir ordlyden ikke veiledning på.

Det har ikke kommet spesifikke retningslinjer om artikkel 26 fra EDPB etter forordningen ble tatt i bruk, men Artikkel 29-gruppen har tidligere hva som ligger i den engelske ordlyden

«jointly determines» som gjaldt i definisjonen i 95-direktivet og som nå fremkommer i engelsk utgave av forordningen artikkel 4 nr. 7 og artikkel 26. Dette tilsvarer den norske ordlyden «i fellesskap».

Det uttrykkes som nevnt ovenfor at mangfoldet av mulige samarbeidssituasjoner gjør det umulig å lage detaljerte regler for ulike scenarioer med felles behandlingsansvar.⁸⁸ Generelt uttales det at vurderingen av felles behandlingsansvar skal speile vurderingen av om én aktør i det hele tatt er behandlingsansvarlig. Det er dermed de faktiske omstendighetene ved

behandlingen av personopplysninger som skal legges til grunn, altså hvem som faktisk er involvert i bestemmelsen av formål og midler. Når denne vurderingen skal brukes for å vurdere felles behandlingsansvar må det i tillegg være fokus på om de konkrete bestemte formål og midler er fastsatt av mer enn én aktør. Det kan i denne sammenhengen sees hen til om det finnes avtalefestede ordninger mellom aktørene hvor disse har avklart om det

eventuelt foreligger felles ansvar og om fordelingen. Dette må uansett vike for de faktiske omstendigheter hvis det ikke samsvarer.⁸⁹

88 WP 169 s. 18

89 WP 169 s. 18

(27)

Felles behandlingsansvar vil dermed oppstå når flere forskjellige behandlingsansvarlige aktører er med på fastsettelsen av formål eller midlene for konkrete behandlinger. Artikkel 29-gruppen har presisert at måten flere aktører deltar i bestemmelsen av formål og midler på kan være av forskjellige form og grad, og trenger ikke fordeles jevnt.⁹⁰ På grunn av

mangfoldet kan slike aktører for eksempel ha et nært samarbeid hvor de deler alle formål og midler med behandlingen, og det kan være et løsere samarbeid hvor det bare deles formål eller midler, eller bare en del av disse. Vurderingen av felles behandlingsansvar må derfor også ta høyde for de forskjellige grader og varianter av samhandling ved behandling av personopplysninger.⁹¹

På bakgrunn av dette kan det sies at der flere aktører i fellesskap bestemmer på lik linje alle formål og virkemidler med behandlingen er det lettere å etablere fullverdig kontroll for

partene, og ansvarsplasseringen vil være klar og uproblematisk. Det er her lett å avgjøre hvem som er kompetent til å sikre individers rettigheter og samsvare med personvernforpliktelser.

Det er i de tilfeller hvor aktørene ikke helt likt deler alle formål og midler at

ansvarsplasseringen blir mer problematisk. Vurderingen blir å finne ut hvem som er ansvarlig for hvilke deler av behandlingen og hvor det kan foreligge felles ansvar.

Det er dermed et behov for å klargjøre nærmere hvordan ansvaret for behandling av personopplysninger skal fordeles. Fordi det ikke er hensiktsmessig å detaljregulere dette i bestemmelsen er det EU-domstolen som vil stå nærmest til å få det nærmere innholdet klarlagt gjennom avgjørelser av konkrete saker. Nedenfor kommer en analyse av domstolens nylig avsagte dommer om felles behandlingsansvar.

Hovedbudskapet fra artikkel 26 er å sikre at ansvaret for å sørge for samsvar med personvernreglene og ansvar for brudd på disse er klart plassert. Dette er for å unngå at beskyttelsen av personopplysninger blir redusert eller at det oppstår smutthull hvor plikter og rettigheter etter forordningen ikke er sikret av noen parter.⁹² Det er dermed også viktig med informasjon til de registrerte som forklarer prosessen med behandlingen av deres

personopplysninger, hvem som er involvert og hvem som er ansvarlig. Hvis ansvaret for

90 WP 169 s. 19

91 WP 169 s. 19

92 WP 169 s. 22

(28)

behandlingen er delt opp i forskjellige deler og fordelt på flere av de behandlingsansvarlige er dette særskilt viktig å informere om.

Artikkel 26 inneholder videre også krav om formalisering jf. nr. 1 andre setning. Det vil redegjøres nærmere for kravet om formalisering sammen med redegjørelsen for

pasientjournalloven § 9.

4.1.3 Eksternt solidaransvar

Etter artikkel 26 nr. 3 følger det at den registrerte kan utøve sine rettigheter etter forordningen overfor alle de som regnes som behandlingsansvarlig uavhengig av ordningen dem imellom.

Utad er de felles behandlingsansvarlig dermed fullt ansvarlig ovenfor den registrerte. Dette er også nytt med forordningen og signaliserer igjen det større fokuset som er lagt på

enkeltpersoners mulighet til å håndheve sine rettigheter. Dette er viktig fordi det på grunn av mangfold av samarbeidsformer og aktører også vil variere hvor aktørene er plassert

geografisk i forhold til individene og den økonomiske evnen vil også kunne variere.⁹³ Som det vises nedenfor kan Facebook, et multinasjonalt selskap, være felles behandlingsansvarlig sammen med en liten selvstendig nettbutikk om behandling av personopplysninger og her vil det være stor skjevhet i partenes mulighet til å dekke et erstatningskrav.

Når det gjelder erstatning etter artikkel 82 står det i nr. 4 at der hvor det er flere

behandlingsansvarlige eller databehandlere krever forordningen at hver av dem er ansvarlig for hele skaden for å sikre at den registrerte får effektiv erstatning jf. nr. 4. Denne

bestemmelsen må derimot sees i sammenheng med muligheten partene har til å kreve regress hos hverandre jf. artikkel 82 nr. 5. Regressadgangen kan også følge av avtale mellom partene, lov eller alminnelige avtalerettslige prinsipper.⁹⁴

4.2 Analyse av rettspraksis fra EU-domstolen

Siden juni 2018 er det avsagt tre avgjørelser fra EU-domstolen som omhandler felles behandlingsansvar. Alle er avsagt med 95-direktivet som rettslig grunnlag fordi faktum i sakene skjedde mens direktivet var gjeldende. Sakene omfatter flere spørsmål, men relevant for denne oppgaven er at alle handler om forståelsen av begrepet behandlingsansvarlig og muligheten for at disse «... sammen med andre bestemmer formålet ... og midler ...» jf. 95- direktivets artikkel 2 bokstav d. Legaldefinisjonene er de samme under

(29)

personvernforordningen. Derfor er dommene også relevante for forståelsen av felles behandlingsansvar under forordningen.

Ingen av dommene tar for seg spesifikt temaet felles behandlingsansvar for samarbeidende helsevirksomheter. Likevel er de sentrale rettskilder for vurderingen av når virksomheter er felles behandlingsansvarlige, også når det samarbeides etter pasientjournalloven § 9.

Dommene gir avklaring på den generelle forståelsen av felles behandlingsansvar, noe regelverket er taus på. Oppgaven vil gå gjennom de sentrale faktagrunnlag, hva som var det rettslige spørsmålet, hva domstolen kom fram til og til slutt hva som er det essensielle i dommene som kan få overføring til flere områder hvor felles behandlingsansvar forekommer, spesielt til helseforetak.

4.2.1 Sak C-210/16 «Fanpage-dommen»

Saken kom fra tysk føderal høyesterettsdomstol og partene i saken var Wirtschaftsakademie Schleswig-Holstein («Akademiet»), et privat utdanningssenter, og ULD, et regionalt

datatilsynsorgan. ULD hadde gitt vedtak til Akademiet med påbud om å deaktivere deres Facebook-side på Facebook på grunn av brudd på tysk personvernlovgivning og derav også 95-direktivet. Begrunnelsen for vedtaket var at besøkende på Facebook-siden ikke ble informert om at det ble brukt cookies⁹⁵ for å samle opp informasjon om dem som deretter ble brukt for å lage brukerstatistikk. Verken Facebook eller Akademiet hadde informert om dette.

I underinstansene i Tyskland fikk Akademiet medhold i at vedtaket var ugyldig og at de dermed ikke var i strid med personvernlovgivningen. ULD anket til føderal høyesterett, som var enig med underinstansene. På bakgrunn av dette ble spørsmålet overført til EU-domstolen for en tolkningsuttalelse om hvordan reglene i personverndirektivet skulle forstås.

Akademiet mente at de som administrator av deres egen Facebook-side, ikke var ansvarlig for cookies som Facebook hadde installert eller for databehandlingen av innsamlet data som deretter ble utført av Facebook.

ULD mente at ved å skape en Facebook-side hadde Akademiet gjort et frivillig bidrag til innsamlingen av personopplysninger foretatt av Facebook og at de også fikk en fordel

95 Cookies er på norsk oversatt med informasjonskapsler. Informasjonskapsel, cookie, liten datamengde som en nettleser mottar fra nettsider som brukeren besøker, og som lagres som en fil på brukerens harddisk. En cookie kan inneholde informasjon som brukeren har registrert på siden, for eksempel brukernavn og passord i kryptert form, og som oversendes nettsiden ved påfølgende besøk. (Store norske leksikon, 2018)